在哪里配置 /var/log/audit 的权限?

在哪里配置 /var/log/audit 的权限?

我面临的问题是我正在尝试设置 /var/log/audit 的权限。

如果我发出chmod -R g-wx,o-rwx /var/log/*然后重新启动服务,权限将重置为:drwxr-x---

我可以在哪里控制此行为?我已检查

  • /etc/logrotate.conf
  • /etc/logrotate.d/*
  • /usr/lib/tmpfiles.d/*

好像找不到票了。

感谢您的体验!谢谢。

答案1

唯一可用于控制 auditd 日志权限的方法是文件log_group中的设置auditd.conf。当存在此设置时,所有日志输出将为组可读 (mask 0750);当不存在此设置时,只有 root 可读 (mask )。正如您所注意到的,当 auditd 启动时,0700此模式也会应用于目录本身。/var/log/audit

此外,日志文件在轮转后总会删除写入位,并且不会再被写入。这些行为都是在auditd程序中硬编码的。

根据chmod您问题中的命令,我认为您应该能够通过注释掉该log_group/etc/audit/auditd.conf并重新启动 auditd 来获得您想要的结果:

# systemctl restart auditd
# grep log_group /etc/audit/auditd.conf
#log_group = adm
# ls -ld /var/log/audit
drwx------ 3 root root 4096 Jan 31 19:52 /var/log/audit
# ls -l /var/log/audit
total 26280
-rw------- 1 root root 1674289 Jan 31 21:22 audit.log
-r-------- 1 root root 8388712 Jan 31 19:52 audit.log.1
-r-------- 1 root root 8388786 Jan 31 18:55 audit.log.2
-r-------- 1 root root 8388631 Jan 31 18:08 audit.log.3
drwx------ 2 root root   16384 Jan 26 11:27 lost+found

某些系统可能需要重新启动才能使此配置更改生效。

相关内容